Aracılığıyla paylaş

Ağ İlkesi Sunucusuna genel bakış

Bu makalede, Windows Server'da Ağ İlkesi Sunucusu'na (NPS) genel bir bakış sağlanır. NPS'yi kullanarak bağlantı isteği kimlik doğrulaması ve yetkilendirmesi için kuruluş genelinde ağ erişim ilkeleri oluşturabilir ve uygulayabilirsiniz. NPS'yi RADIUS (Uzaktan Erişim Arama Kullanıcı Hizmeti) proxy'si olarak da yapılandırabilirsiniz. NPS'yi RADIUS ara sunucusu olarak kullandığınızda, NPS bağlantı isteklerini uzak NPS RADIUS sunucusuna veya diğer RADIUS sunucularına iletir. Bağlantı isteklerini yük dengelemek ve bunları kimlik doğrulaması ve yetkilendirme için doğru etki alanına iletmek için ara sunucu yapılandırmasını kullanabilirsiniz. Windows Server'da Ağ İlkesi ve Erişim Hizmetleri (NPAS) rolünü yüklediğinizde NPS yüklenir.

NPS features

Ağ erişimi kimlik doğrulaması, yetkilendirme ve hesaplamayı merkezi olarak yapılandırmak ve yönetmek için NPS'yi kullanabilirsiniz. NPS bu amaçla aşağıdaki özellikleri sunar:

  • RADIUS server. NPS, kablosuz, kimlik doğrulama anahtarı, uzaktan erişim çevirmeli ve sanal özel ağ (VPN) bağlantıları için merkezi kimlik doğrulaması, yetkilendirme ve hesaplama gerçekleştirir. NPS'yi RADIUS sunucusu olarak kullandığınızda, aşağıdaki bileşenleri yapılandırabilirsiniz:

    • Kablosuz erişim noktaları ve VPN sunucuları gibi ağ erişim sunucuları. Bunları NPS'de RADIUS istemcileri olarak yapılandırabilirsiniz.
    • NPS'nin bağlantı isteklerini yetkilendirmek için kullandığı ağ ilkeleri.
    • RADIUS accounting. Bu bileşen isteğe bağlıdır. Yapılandırırsanız, NPS, muhasebe bilgilerini yerel sabit diskteki günlük dosyalarına veya bir Microsoft SQL Server veritabanına kaydeder.

    For more information, see RADIUS server.

  • RADIUS proxy. NPS'yi RADIUS ara sunucusu olarak kullandığınızda, NPS'ye şunu belirten bağlantı isteği ilkeleri yapılandırabilirsiniz:

    • Hangi bağlantı isteklerinin diğer RADIUS sunucularına iletileceğini belirtin.
      • Bu bağlantı isteklerinin iletildiği hedef RADIUS sunucularını tanımlayın.

    Ayrıca, NPS'yi günlüğe kaydetme amacıyla muhasebe verilerini uzak RADIUS sunucu grubundaki bir veya daha fazla bilgisayara iletecek şekilde yapılandırabilirsiniz. NPS'yi RADIUS proxy sunucusu olarak yapılandırmak için aşağıdaki kaynaklara bakın:

  • RADIUS accounting. NPS'yi olayları yerel bir günlük dosyasına veya yerel ya da uzak bir SQL Server örneğine kaydedecek şekilde yapılandırabilirsiniz. For more information, see NPS logging.

NPS'yi bu özelliklerin herhangi bir bileşimiyle yapılandırabilirsiniz. Örneğin, VPN bağlantıları için bir NPS dağıtımını RADIUS sunucusu olarak yapılandırabilirsiniz. Ayrıca, belirli bağlantı isteklerini iletmek için radius ara sunucusuyla aynı dağıtımı yapılandırabilirsiniz. Özellikle, bazı istekleri başka bir etki alanında kimlik doğrulaması ve yetkilendirme için uzak RADIUS sunucu grubunun üyelerine iletebilir.

Important

NPAS, Windows Server'ın önceki sürümlerinde Ağ Erişim Koruması (NAP), Sistem Durumu Kayıt Yetkilisi (HRA) ve Konak Kimlik Bilgisi Yetkilendirme Protokolü (HCAP) içeriyordu. NAP, HRA ve HCAP, Windows Server 2012 R2'de kullanım dışı bırakıldı ve Windows Server 2016 veya sonraki sürümlerde kullanılamaz. Windows Server 2016'dan önceki işletim sistemlerini kullanan bir NAP dağıtımınız varsa, NAP dağıtımınızı Windows Server 2016 veya sonraki bir sürüme geçiremezsiniz.

Windows Server yükleme seçenekleri ve NPS

NPS işlevinin kullanılabilirliği, Windows Server'ı yüklerken seçtiğiniz seçeneklere bağlıdır:

  • Masaüstü Deneyimi ile Sunucu yükleme seçeneğini kullandığınızda NPAS rolü Windows Server'da kullanılabilir. Rol, Standard ve Datacenter sürümlerinde kullanılabilir.
  • Sunucu Çekirdeği yükleme seçeneğini kullandığınızda NPAS rolü kullanılamaz.

RADIUS sunucusu ve ara sunucusu

NPS'yi RADIUS sunucusu, RADIUS ara sunucusu veya her ikisi olarak kullanabilirsiniz. Aşağıdaki bölümlerde bu kullanımlar hakkında ayrıntılı bilgiler sağlanır.

RADIUS server

NPS is the Microsoft implementation of the RADIUS standard specified by the Internet Engineering Task Force (IETF) in Request for Comments (RFCs) 2865 and 2866. NPS, bir RADIUS sunucusu olarak, birçok türde ağ erişimi için merkezi bağlantı kimlik doğrulaması, yetkilendirmesi ve muhasebesini gerçekleştirir. Ağ erişim türlerine örnek olarak kablosuz, kimlik doğrulama anahtarı, çevirmeli ve VPN uzaktan erişimi ve yönlendiriciden yönlendiriciye bağlantılar verilebilir.

Note

NPS'in RADIUS sunucusu olarak dağıtılması hakkında bilgi için bkz. Ağ İlkesi Sunucusu Dağıtma.

NPS, heterojen bir kablosuz, anahtar, uzaktan erişim veya VPN ekipmanı kümesinin kullanımını destekler. NPS'yi Windows Server'da bulunan Uzaktan Erişim hizmetiyle kullanabilirsiniz.

NPS, bağlantı girişimleri için kullanıcı kimlik bilgilerinin kimliğini doğrulamak için bir Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı veya yerel Güvenlik Hesapları Yöneticisi (SAM) kullanıcı hesapları veritabanı kullanır. NPS çalıştıran bir sunucu bir AD DS etki alanının üyesi olduğunda, NPS kullanıcı hesabı veritabanı olarak dizin hizmetini kullanır. Bu durumda NPS, çoklu oturum açma çözümünün bir parçasıdır. Aynı kimlik bilgileri kümesi, ağ erişim denetimi (bir ağa erişimin kimliğini doğrulamak ve yetkilendirmek) ve bir AD DS etki alanında oturum açmak için kullanılır.

Note

NPS, bir bağlantıyı yetkilendirmek için kullanıcı hesabının ve ağ ilkelerinin çevirmeli bağlantı özelliklerini kullanır.

İnternet hizmet sağlayıcıları (ISS) ve ağ erişimini koruyan kuruluşlarda daha fazla zorluk vardır. Kullanılan ağ erişim ekipmanının türü ne olursa olsun, her tür ağ erişimini tek bir yönetim noktasından yönetmeleri gerekir. RADIUS standardı hem homojen hem de heterojen ortamlarda bu işlevselliği destekler. RADIUS, ağ erişim ekipmanının (RADIUS istemcileri olarak kullanılır) bir RADIUS sunucusuna kimlik doğrulama ve muhasebe istekleri göndermesini sağlayan bir istemci-sunucu protokolüdür.

RADIUS sunucusunun kullanıcı hesabı bilgilerine erişimi vardır ve ağ erişimi kimlik doğrulaması kimlik bilgilerini denetleyebilir. Kullanıcı kimlik bilgileri doğrulandıysa ve bağlantı girişimi yetkilendirildiyse, RADIUS sunucusu kullanıcı erişimini belirtilen koşullara göre yetkilendirir. Ardından RADIUS sunucusu, ağ erişim bağlantısını muhasebe kaydına geçirir. RADIUS kullanımı, ağ erişimi kullanıcı kimlik doğrulaması, yetkilendirme ve hesap oluşturma verilerinin her erişim sunucusu yerine merkezi bir konumda toplanmasına ve korunmasına olanak tanır.

NPS'i RADIUS sunucusu olarak kullanma

Aşağıdaki durumlarda NPS'yi RADIUS sunucusu olarak kullanabilirsiniz:

  • Erişim istemcileri için kullanıcı hesabı veritabanınız olarak bir AD DS etki alanı veya yerel SAM kullanıcı hesapları veritabanı kullanıyorsunuz.
  • Uzaktan Erişim'i birden çok çevirmeli sunucuda, VPN sunucusunda veya isteğe bağlı arama yönlendiricisinde kullanıyorsunuz ve hem ağ ilkelerinin yapılandırmasını hem de bağlantı günlüğünü ve muhasebeyi merkezileştirmek istiyorsunuz.
  • VPN, çevirmeli veya kablosuz erişiminizi bir hizmet sağlayıcısına dış kaynak kullanımı olarak devrediyorsunuz. Erişim sunucuları, kuruluşunuzun üyeleri tarafından yapılan bağlantıların kimliğini doğrulamak ve yetkilendirmek için RADIUS kullanır.
  • Kimlik doğrulamasını, yetkilendirmeyi ve heterojen erişim sunucusu kümesinin hesaplanmasını merkezileştirmek istiyorsunuz.

Aşağıdaki diyagramda çeşitli erişim istemcileri için RADIUS sunucusu olarak NPS gösterilmektedir.

NPS'yi çeşitli erişim sunucusu türleri, etki alanı denetleyicisi ve SQL Server ile iletişim kuran bir RADIUS sunucusu olarak gösteren diyagram.

RADIUS proxy

NPS, RADIUS proxy'si olarak kimlik doğrulama ve hesap iletilerini NPS RADIUS sunucularına ve diğer RADIUS sunucularına iletir. NPS'yi BIR RADIUS ara sunucusu olarak kullandığınızda, RADIUS iletilerini RADIUS istemcileri ve RADIUS sunucuları arasında yönlendirir. RADIUS istemcileri ağ erişim sunucuları olarak da adlandırılır. RADIUS sunucuları, bağlantı girişimi için kullanıcı kimlik doğrulaması, yetkilendirme ve hesaplama gerçekleştirir.

NPS'de sınırsız sayıda RADIUS istemcisi ve uzak RADIUS sunucu grubu yapılandırabilirsiniz. Ayrıca, BIR IP adresi aralığı belirterek RADIUS istemcilerini yapılandırabilirsiniz.

NPS'yi BIR RADIUS ara sunucusu olarak kullandığınızda, RADIUS erişim ve muhasebe iletilerinin aktığı merkezi bir anahtarlama veya yönlendirme noktası görevi görür. NPS, iletilen iletiler hakkındaki bilgileri bir muhasebe günlüğüne kaydeder.

NPS'i RADIUS ara sunucusu olarak kullanma

Aşağıdaki durumlarda NPS'yi RADIUS proxy'si olarak kullanabilirsiniz:

  • Birden çok müşteriye dış kaynaklı çevirmeli, VPN veya kablosuz ağ erişim hizmetleri sunan bir hizmet sağlayıcısısınız. Ağa bağlı depolama (NAS) sistemleriniz NPS RADIUS ara sunucusuna bağlantı istekleri gönderir. NPS RADIUS proxy'si, bağlantı isteğindeki kullanıcı adının bölge bölümüne göre bağlantı isteğini bir RADIUS sunucusuna iletir. Müşteri, bağlantı girişiminin kimliğini doğrulayıp yetkilendirilebilen bu sunucuyu korur.

  • Aşağıdaki etki alanlarından herhangi birinin üyesi olmayan kullanıcı hesapları için kimlik doğrulaması ve yetkilendirme sağlamak istiyorsunuz:

    • NPS dağıtımının üye olduğu etki alanı.
    • NPS dağıtımının yer aldığı etki alanıyla iki yönlü güven ilişkisine sahip bir etki alanı.

    Kullanıcı hesaplarına örnek olarak güvenilmeyen etki alanlarındaki hesaplar, tek yönlü güvenilen etki alanları ve diğer ormanlar verilebilir. Erişim sunucularınızı, bağlantı isteklerini bir NPS RADIUS sunucusuna gönderecek şekilde yapılandırmak yerine, bağlantı isteklerini bir NPS RADIUS ara sunucusuna gönderecek şekilde yapılandırabilirsiniz. NPS RADIUS proxy'si, kullanıcı adının bölge adı bölümünü kullanır ve isteği doğru etki alanındaki veya ormandaki bir NPS RADIUS sunucusuna iletir. Bir etki alanı veya ormandaki kullanıcı hesapları için bağlantı girişimlerinin kimliği, başka bir etki alanındaki veya ormandaki NAS sistemleri için doğrulanabilir.

  • Windows hesabı veritabanı olmayan bir veritabanı kullanarak kimlik doğrulaması ve yetkilendirme gerçekleştirmek istiyorsunuz. Bu durumda, belirtilen bölge adıyla eşleşen bağlantı istekleri, farklı bir kullanıcı hesabı veritabanına ve yetkilendirme verilerine erişimi olan bir RADIUS sunucusuna iletilir. Diğer kullanıcı veritabanlarına örnek olarak NetIQ eDirectory ve Yapılandırılmış Sorgu Dili (SQL) veritabanları verilebilir.

  • Çok sayıda bağlantı isteğini işlemek istiyorsunuz. Bu durumda, RADIUS istemcilerinizi birden çok RADIUS sunucusunda bağlantı ve muhasebe isteklerini dengelemeye çalışmak üzere yapılandırmak yerine, bağlantı ve muhasebe isteklerini bir NPS RADIUS ara sunucusuna gönderecek şekilde yapılandırabilirsiniz. NPS RADIUS ara sunucusu, birden çok RADIUS sunucusundaki bağlantı ve muhasebe isteklerinin yükünü dinamik olarak dengeler ve saniyede çok sayıda RADIUS istemcisi ve kimlik doğrulamasının işlenmesini artırır.

  • Dış kaynak hizmet sağlayıcıları için RADIUS kimlik doğrulaması ve yetkilendirme sağlamak ve intranet güvenlik duvarı yapılandırmasını en aza indirmek istiyorsunuz. İntranet güvenlik duvarı, intranet ve çevre ağınız (intranetiniz ile İnternet arasındaki ağ) arasındadır. NPS'yi çevre ağınıza yerleştirirseniz, çevre ağınızla intranet arasındaki güvenlik duvarı NPS ile birden çok etki alanı denetleyicisi arasında trafiğin akmasına izin vermelidir. NPS dağıtımını bir NPS ara sunucusuyla değiştirirseniz, güvenlik duvarı yalnızca NPS ara sunucusu ile intranetiniz içindeki bir veya birden çok NPS dağıtımı arasında RADIUS trafiğinin akmasına izin vermelidir.

Important

NPS, orman işlev düzeyi Windows Server 2003 veya üzeri olduğunda ve ormanlar arasında iki yönlü güven ilişkisi olduğunda RADIUS ara sunucusu olmayan ormanlar arasında kimlik doğrulamasını destekler. Ancak, kimlik doğrulama yönteminiz olarak sertifikalarla aşağıdaki çerçevelerden birini kullanırsanız, ormanlar arasında kimlik doğrulaması için bir RADIUS ara sunucusu kullanmanız gerekir:

  • Genişletilebilir Kimlik Doğrulaması Protocol-Transport Katman Güvenliği (EAP-TLS)
  • Korumalı Genişletilebilir Kimlik Doğrulaması Protocol-Transport Katman Güvenliği (PEAP-TLS)

Aşağıdaki diyagramda, RADIUS istemcileri ile RADIUS sunucuları arasında RADIUS ara sunucusu olarak NPS gösterilmektedir.

Erişim sunucuları ve RADIUS sunucularıyla iletişim kurmak için RADIUS protokolunu kullanan bir ara sunucu olarak NPS'yi gösteren diyagram.

NPS ile kuruluşlar uzaktan erişim altyapısını bir hizmet sağlayıcısına dış kaynak olarak kullanabilir ve kullanıcı kimlik doğrulaması, yetkilendirme ve muhasebe üzerinde denetimi koruyabilir.

Aşağıdaki senaryolar için NPS yapılandırmaları oluşturabilirsiniz:

  • Wireless access
  • Kurumsal dial-up çevirmeli veya VPN uzaktan erişimi
  • Dış kaynaklı çevirmeli veya kablosuz erişim
  • Internet access
  • İş ortakları için extranet kaynaklarına kimliği doğrulanmış erişim

RADIUS sunucusu ve RADIUS proxy yapılandırma örnekleri

Aşağıdaki yapılandırma örnekleri, NPS'yi RADIUS sunucusu ve RADIUS ara sunucusu olarak nasıl yapılandırabileceğinizi gösterir.

RADIUS sunucusu olarak NPS

Bu örnekte aşağıdaki yapılandırma kullanılır:

  • NPS, RADIUS sunucusu olarak yapılandırılır.
  • Varsayılan bağlantı isteği ilkesi, yapılandırılan tek ilkedir.
  • Yerel NPS RADIUS sunucusu tüm bağlantı isteklerini işler.

NPS RADIUS sunucusu, NPS RADIUS sunucusunun etki alanındaki ve güvenilen etki alanlarındaki kullanıcı hesaplarının kimliğini doğrulayabilir ve yetkilendirilebilir.

RADIUS ara sunucusu olarak NPS

Bu örnekte NPS, bağlantı isteklerini ileten bir RADIUS ara sunucusu olarak yapılandırılır. İstekler, güvenilmeyen iki etki alanında uzak RADIUS sunucu gruplarına iletilir.

Varsayılan bağlantı isteği ilkesi silinir. İstekleri güvenilmeyen iki etki alanının her birine iletmek için iki yeni bağlantı isteği ilkesi oluşturulur.

Bu örnekte, NPS yerel sunucudaki hiçbir bağlantı isteğini işlemez.

Hem RADIUS sunucusu hem de RADIUS ara sunucusu olarak NPS

Bu örnekte iki bağlantı isteği ilkesi kullanılır:

  • Bağlantı isteklerinin yerel olarak işlendiğini belirten varsayılan bağlantı isteği ilkesi.
  • Yeni bir bağlantı isteği ilkesi. Bağlantı isteklerini bir NPS RADIUS sunucusuna veya güvenilmeyen bir etki alanındaki diğer RADIUS sunucusuna iletir.

İkinci ilke Proxy ilkesi olarak adlandırılır. İlk olarak sıralı ilkeler listesinde görünür.

  • Bir bağlantı isteği Ara Sunucu ilkesiyle eşleşiyorsa, bağlantı isteği uzak RADIUS sunucu grubundaki RADIUS sunucusuna iletilir.
  • Bağlantı isteği Ara Sunucu ilkesiyle eşleşmiyorsa ancak varsayılan bağlantı isteği ilkesiyle eşleşiyorsa, NPS bağlantı isteğini yerel sunucuda işler.
  • Bağlantı isteği iki ilkeyle de eşleşmiyorsa atılır.

Uzaktan hesaplama sunucularıyla RADIUS sunucusu olarak NPS

Bu örnekte, yerel NPS RADIUS sunucusu hesap yapmak için yapılandırılmamış. Varsayılan bağlantı isteği ilkesi, RADIUS hesaplama iletilerinin bir NPS RADIUS sunucusuna veya uzak RADIUS sunucu grubundaki başka bir RADIUS sunucusuna iletilmesi için güncellendi.

Bu örnekte muhasebe iletileri iletilmiş olsa da, kimlik doğrulama ve yetkilendirme iletileri iletilmiyor. Yerel NPS RADIUS sunucusu, yerel etki alanı ve tüm güvenilen etki alanları için kimlik doğrulama ve yetkilendirme işlevlerini gerçekleştirir.

Uzak RADIUS kullanıcıları ile yerel Windows kullanıcıları arasında eşlemeye sahip NPS

Bu örnekte, NPS hem RADIUS sunucusu hem de RADIUS ara sunucusu olarak görev yapar. NPS her bir bağlantı isteğini aşağıdaki şekilde işler:

  • Kimlik doğrulama isteği uzak RADIUS sunucusuna iletilir.
  • Yetkilendirme için yerel bir Windows kullanıcı hesabı kullanılır.

Bu yapılandırmayı uygulamak için Uzak RADIUS ile Windows Kullanıcı Eşlemesi özniteliğini bağlantı isteği ilkesinin koşulu olarak yapılandıracaksınız. Ayrıca RADIUS sunucusunda yerel olarak bir kullanıcı hesabı da oluşturursunuz. Bu hesabın, uzak RADIUS sunucusunun kimlik doğrulaması gerçekleştirdiği uzak kullanıcı hesabıyla aynı ada sahip olması gerekir.

Configuration

NPS'yi RADIUS sunucusu olarak yapılandırmak için, NPS konsolunda veya Sunucu Yöneticisi'nde standart yapılandırmayı veya gelişmiş yapılandırmayı kullanabilirsiniz. NPS'yi RADIUS ara sunucusu olarak yapılandırmak için gelişmiş yapılandırmayı kullanmanız gerekir.

Standard configuration

Standart yapılandırmayla, aşağıdaki senaryolar için NPS'yi yapılandırmanıza yardımcı olacak sihirbazlar sağlanır:

  • Çevirmeli bağlantılar veya VPN bağlantıları için RADIUS sunucusu
  • 802.1X kablosuz veya kablolu bağlantılar için RADIUS sunucusu

NPS'yi sihirbaz kullanarak yapılandırmak için NPS konsolunu açın, önceki senaryolardan birini seçin ve ardından sihirbazın bağlantısını seçin.

Advanced configuration

Gelişmiş yapılandırmayı kullandığınızda, NPS'yi radius sunucusu veya RADIUS ara sunucusu olarak el ile yapılandırabilirsiniz.

To configure NPS by using the advanced configuration, open the NPS console, and then expand Advanced Configuration.

Aşağıdaki bölümlerde, sağlanan gelişmiş yapılandırma öğeleri açıklanmaktadır.

RADIUS sunucusu yapılandırma

NPS'yi RADIUS sunucusu olarak yapılandırmak için RADIUS istemcilerini, ağ ilkelerini ve RADIUS hesaplamasını yapılandırmanız gerekir.

Bu yapılandırmaları yapma yönergeleri için aşağıdaki makalelere bakın:

RADIUS proxy'si yapılandırma

NPS'yi RADIUS ara sunucusu olarak yapılandırmak için RADIUS istemcilerini, uzak RADIUS sunucu gruplarını ve bağlantı isteği ilkelerini yapılandırmanız gerekir.

Bu yapılandırmaları yapma yönergeleri için aşağıdaki makalelere bakın:

NPS logging

NPS günlüğü, RADIUS muhasebesi olarak da adlandırılır. NPS günlüğünü, NPS'nin RADIUS sunucusu, ara sunucu veya bu yapılandırmaların herhangi bir bileşimi olarak kullanılmasına bakılmaksızın gereksinimlerinizi karşılayacak şekilde yapılandırabilirsiniz.

NPS günlüğünü yapılandırmak için, Olay Görüntüleyicisi ile günlüğe kaydetmek ve görüntülemek istediğiniz olayları yapılandırmanız ve ardından günlüğe kaydetmek istediğiniz diğer bilgileri belirlemeniz gerekir. Ayrıca, kullanıcı kimlik doğrulaması ve muhasebe bilgileri günlüklerinin nerede depolandığına da karar vermeniz gerekir. Aşağıdaki seçenekler kullanılabilir:

  • Yerel bilgisayarda depolanan metin günlüğü dosyaları
  • Yerel bilgisayarda veya uzak bilgisayarda sql server veritabanı

Daha fazla bilgi için bkz. Ağ İlkesi Sunucusu hesaplamasını yapılandırma.

Related content